連載
» 2016年02月09日 05時00分 UPDATE

「セキュリティ心理学」入門(2):現金より情報の方が盗みやすい?――ある実験が明らかにした「行動規範はセキュリティに役立つか」 (1/2)

人間にまつわるセキュリティを考える本連載。第2回のテーマは「行動規範はセキュリティに役立つのか?」です。企業における「社是・社訓」や、国家公務員に対する「倫理規程」などの行動規範が、情報セキュリティ上果たす役割について、ある実験を参考に考えます。

[内田勝也,@IT]
「『セキュリティ心理学』入門」のインデックス

連載目次

「行動規範」の役割とは

 企業や専門家団体など、各種の組織において、「社是・社訓」や「倫理規定」などといった「行動規範」が定められていることがあります。また、専門資格などを受験したときに、合格条件の中に「倫理規約の順守」といった項目が入っていることもあります。このような規範は、どうして必要なのでしょうか? また、情報セキュリティの面から見たとき、こうした規範は一体どのような役割を果たしているのでしょう。今回は、こうした行動規範の持つ効果について考えます。

 まず、いきなり「行動規範」などと言われてもピンとこない方のために、一例として、情報セキュリティの専門家資格である「CISSP(Certified Information Systems Security Professional)」の認定試験などを実施している(ISC)2が定めている「倫理規約」の一部を紹介します。

(ISC)2倫理規約(抜粋)


  倫理規約の序文

  • 社会の安全性を高め、当事者の責務および相互の義務を果たすには、最高レベルの倫理行動規範に従う、
    もしくは従う姿勢を示す必要がある。
  • よって、当倫理規約の規律を厳守することがCISSP認定の条件となる。

  倫理規約の規律

  1. 社会、一般大衆の福利、およびインフラを保護する。
  2. 法律に違わず、公正かつ誠実に責任を持って行動する。
  3. 当事者に対して、十分かつ適切なサービスを提供する。
  4. 専門知識を高め、維持する。

 上記規律を達成するため、以下に指針を示す。

 

 (中略)

  • 次のような行動の抑制に努める。
    • 不必要な心配、不安、疑惑を煽る。
    • 安易に安心感を与え、根拠のない保証をする。
    • 悪い習慣を承諾する。
    • パブリックネットワークに脆弱なシステムを接続する。
    • 非専門家と繋がりを持つ。
    • 未経験者を認める、または未経験者と連携する。
    • 犯罪または犯罪的行為に関わる、あるいは関わっているように見える。

 (以下略)

 (ISC)2では、上記の規約は必ず従うべきものではなく、「倫理的ジレンマに直面したときに、その状況を分析し、問題を解決するための糸口」として参考にしてほしいとしています。しかしながら、この規約に故意に違反すれば、「資格の取り消し」もあり得るとしています。さて、このような行動規範には、一体どのような意味があるのでしょうか?

 ここで、行動規範の効果を考える上で参考になる、ある実験を紹介しましょう。

ダン・アリエリーの実験

 これは、行動経済学者のダン・アリエリー(Dan Ariely)が、米国マサチューセッツ工科大学(MIT)の学生を対象に実施した二つの実験です(参考:ダン・アリエリー著『予想どおりに不合理』、早川書房)。情報セキュリティについての実験ではありませんが、興味を引くものです。

実験1

MITの学生寮の共用スペースにある複数の冷蔵庫に、6本パックの缶コーラと6枚の1ドル札を載せたお皿を置いて、それぞれ72時間(3日)後にどうなるかを調べた。

結果

72時間後、共用スペースにある複数の冷蔵庫から、全てのコーラがなくなっていたが、1ドル札はそのまま残っていた。

実験2

MITの学生に計算問題を5分間で20問回答させ、終了後にグループごとに以下のことを行った。

  • グループ1:終了後、解答用紙を提出させ、正答1問につき50セントを支払った
  • グループ2:終了後、正答数を口頭で実験者に伝えさせ、正答1問につき50セントを支払った(解答用紙の提出は不要)
  • グループ3:グループ2と同じだが、現金ではなく正答数分の「引換券」を渡し、部屋から少し離れた場所にいる別の実験者が、引換券1枚につき50セントを支払った

結果

実験の結果、各グループの正答率は以下のようになった。

グループ グループ1 グループ2 グループ3
平均正答率 3.5問 6.2問 9.4問

この二つの実験から分かったのは、以下のことです。

  • 現金より物(缶コーラ)の方が持ち出される可能性が高い
  • 自己採点(他人が関与しない)では、「うそ」の申請をする可能性が高い
  • 現金よりも、非現金(引換券)の方が、不正を行う可能性が高くなる

 この実験結果を情報セキュリティに置き換えて考えると、「情報には価値はあるが、現金ではないため、現金以上に盗取の可能性が高くなる」と考えることができます。金銭を直接盗み取るより、情報を盗み取る方が「心理的なハードルが低い」といえるのです。

 さらに、この実験には続きがあります。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。